Добавить домен и SSL/TLS-сертификат

Как добавить домен и SSL/TLS-сертификат, а также настроить автообновление сертификата через Let’s Encrypt.

Это обязательный шаг, если вы используете схему интеграции «проксирование» — в ней трафик к вашему ресурсу проксируется через наше облако. Благодаря тому, что вы добавите домен и SSL/TLS-сертификат, наша система защиты:

Будет знать, запросы к каким доменам обрабатывать. Запросы к другим доменам будут отброшены.
Сможет расшифровать HTTPS-трафик к вашему ресурсу, чтобы осуществить фильтрацию.

Если используете схему интеграции модуль Cybert + TCP Stream, нужно добавить только ваш домен, без сертификата.

При других схемах интеграции добавлять домен и сертификат не нужно.

Добавить домены

Добавьте один домен или сразу несколько. Сделать это можно двумя способами — указать домен как имя ресурса или добавить его в «Защищаемые домены».

Указать как имя ресурса (один домен).

На вкладке Основные настройки в поле Название ресурса укажите домен. Он автоматически будет считаться добавленным к ресурсу.

Добавить в список «Защищаемые домены» (несколько доменов).

Откройте вкладку Домены и SSL и нажмите Добавить домен.
Укажите доменное имя, нажмите Добавить.

Для каждого вашего домена система автоматически добавит в защищаемые домены поддомен www нижнего уровня (он не отобразится в интерфейсе, но система будет его учитывать).

Пример: если имя ресурса — example.com, и в Защищаемые домены вы добавили api.example.com и static.example.com, вот что вы увидите в интерфейсе:

На самом деле к ресурсу будут добавлены шесть доменов. Система защиты сможет обрабывать запросы ко всем шести:

example.com (взят из имени ресурса, не отображается в списке доменов)
www.example.com (добавлен автоматически, не отображается в интерфейсе)
api.example.com
www.api.example.com (добавлен автоматически, не отображается в интерфейсе)
static.example.com
www.static.example.com (добавлен автоматически, не отображается в интерфейсе)

Также система не даст создать дубли: если имя ресурса example.com, то при попытке вручную добавить в защищаемые домены example.com или www.example.com выпадет ошибка — потому что система уже добавила их по умолчанию.

Добавить SSL/TLS-сертификаты

Вы можете добавить сертификат как:

Основной сертификат — используется по умолчанию для всех доменов ресурса, кроме тех, для которых вы добавили дополнительный сертификат
Дополнительный сертификат — используется для конкретного домена, для которого вы его добавили
ГОСТ-сертификат в дополнение к международному — используется в паре с основным или дополнительным международным сертификатом; то есть для вашего домена/доменов будут работать сразу два сертификата

В качестве основного и дополнительного сертификатов можно добавлять как международные, так и ГОСТ-сертификаты. Опция ГОСТ-сертификат в дополнение к международному нужна, только если вы хотите использовать для домена два сертификата одновременно.

Пример, как правильно добавить сертификаты

Допустим, у вас добавлены такие домены:

И есть три сертификата:

example.crt — wildcard-сертификат для *.example.com
sample.crt — международный сертификат для sample.com
sample-gost.crt — ГОСТ-сертификат для sample.com

Правильная настройка:

Добавьте example.crt как основной сертификат.
Добавьте sample.crt как дополнительный для sample.com.
Попросите нашу техподдержку cybert@servicepipe.ru добавить sample-gost.crt как ГОСТ-сертификат для sample.com.

Система будет использовать:

для example.com и api.example.com — example.crt
для sample.com — sample.crt и sample-gost.crt. Выбор сертификата будет зависеть от того, какие алгоритмы шифрования поддерживает клиент — российские или международные.

Основной

На вкладке Домены и SSL в разделе Основной SSL-сертификат по умолчанию нажмите Загрузить сертификат.
Вставьте отдельно цепочку сертификатов и приватный ключ в формате PEM. Нажмите Сохранить.

Что такое формат PEM

PEM (Privacy-Enhanced Mail) — это текстовый формат для хранения криптографических ключей и сертификатов. Данные в этом формате представлены в кодировке Base64 и обрамлены строками вида -----BEGIN…----- и -----END…-----.

Пример приватного ключа в PEM-формате:

-----BEGIN PRIVATE KEY-----
MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQDBj08sp5++4anG
[...]
z3P668YfhUbKdRF6S42Cg6zn
-----END PRIVATE KEY-----

Дополнительный

На вкладке Домены и SSL в разделе Защищаемые домены нажмите … напротив нужного домена → Загрузить сертификат.
Вставьте отдельно цепочку сертификатов и приватный ключ в формате PEM. Нажмите Сохранить.

Что такое формат PEM

Пример приватного ключа в PEM-формате:

-----BEGIN PRIVATE KEY-----
MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQDBj08sp5++4anG
[...]
z3P668YfhUbKdRF6S42Cg6zn
-----END PRIVATE KEY-----

ГОСТ-сертификат в дополнение к международному

Чтобы добавить ГОСТ-сертификат в дополнение к международному, напишите в нашу техподдержку cybert@servicepipe.ru. В своём письме:

Укажите, ко всем доменам добавить этот сертификат или только к конкретному
Приложите сам сертификат
Приложите приватный ключ

Мы добавим сертификат и ключ вручную и уведомим вас, когда всё начнёт работать. С этого момента у вас будут работать оба сертификата: международный и ГОСТ.

Что такое ГОСТ-сертификат и зачем он нужен?

ГОСТ-сертификат — это разновидность SSL/TLS-сертификата, который основан на российских алгоритмах шифрования, а не зарубежных. Его выдают аккредитованные удостоверяющие центры Минцифры. Такие сертификаты внедрили, чтобы убрать зависимость от иностранных центров сертификации.

В целом, сертификаты нужны, чтобы пользователь мог открыть с вашим ресурсом TLS-соединение. Это безопасное соединение, при котором:

Данные передаются в зашифрованном виде, поэтому защищены от кражи (перехватить можно, но прочитать нельзя)
Пользователь уверен, что подключается именно к вашему ресурсу, а не к поддельному (фишинговому) сайту
Данные передаются целостно – можно быть уверенным, что никто из посредников на сети не изменил данные (например, не подменил файл, который пользователь хотел скачать, на вирус)

Большая часть ресурсов в интернете общаются через TLS – это стандарт. Если TLS-соединение установить не удаётся (для чего, напоминаем, нужен SSL/TLS-сертификат), браузер обычно предупреждает «осторожно, небезопасное соединение» или вообще отказывается открыть страницу.

Без российских сертификатов страна целиком зависит от иностранных CA (Certification Authorities – удостоверяющих центров, то есть органов, которые выдают сертификаты). В случае санкций или политических решений они могут:

Отказать в продлении сертификатов для российских компаний
Отозвать уже выданные сертификаты
Фактически выключить часть критически важных сервисов, сделав их недоступными для пользователей и приложений (браузеры и клиенты не примут недоверенные сертификаты и будут блокировать соединение)

Пример: в 2022 году Сбер попал под санкции. У него был SSL/TLS-сертификат от бельгийского центра GlobalSign, срок действия истекал в феврале 2023 года. Продлить его банк не мог — иностранный центр отказал бы из-за санкций. Чтобы клиенты продолжали пользоваться сервисом без перебоев, Сбер перевёл сайт на ГОСТ-сертификат ещё осенью 2022 года.

Именно поэтому регуляторы (ФСТЭК, ФСБ, Минцифра) требуют от банков, госсектора и критической инфраструктуры использовать ГОСТ-сертификаты. Также по умолчанию они поддерживаются российским Яндекс.Браузером.

Если у меня два сертификата, как система понимает, какой использовать?

На основании того, какие алгоритмы шифрования поддерживает клиент, отправивший запрос. Если он:

Поддерживает ГОСТ — система выберет ГОСТ-сертификат
Поддерживает международные алгоритмы – система выберет международный сертификат
Поддерживает и то, и другое – система выберет сертификат, который указан как более приоритетный на стороне клиента

Автообновление сертификата через Let’s Encrypt

Автообновление страхует ресурс на случай, если срок действия вашего SSL/TLS-сертификата исчетёт, а новый вы ещё не добавили. Это опциональная настройка: мы рекомендуем её сделать, но решение остаётся за вами.

Как это работает

Система следит за сроком действия вашего сертификата.
За 27 дней до конца срока система автоматически выпускает Let’s Encrypt сертификат.
После выпуска система сразу заменяет ваш сертификат на Let’s Encrypt. Для установки TLS-соединения теперь используется Let’s Encrypt.
Когда вы загрузите новый сертификат, система заменит Let’s Encrypt на загруженный. Для TLS-соединения станет использоваться ваш новый сертификат.

DNA A-запись для вашего домена должна быть настроена на наши серверы. Без этого автообновление не сработает — система не сможет пройти челлендж от Let’s Encrypt и не получит сертификат.

Включить автообновление

Чтобы включить автообновление для домена, который указан как имя ресурса, передвиньте ползунок Автоматическое продление через Let’s Encrypt (ACME).

Чтобы включить автообновление для другого домена, в Защищаемые домены выберите нужный домен и нажмите … напротив него → Включить автообновление.

Что такое Let’s Encrypt сертификат и насколько это безопасно?

Что такое Let’s Encrypt. Это бесплатный открытый центр сертификации (Certificate Authority, CA). Он автоматически выпускает SSL/TLS-сертификаты по ACME — открытому протоколу, через который можно:

Проверить, что тот, кто запрашивает сертификат, действительно управляет доменом.
Выдать сертификат автоматически, без ручных действий.

Что такое Let’s Encrypt сертификат. Это SSL/TLS-сертификат, выпущенный центром Let’s Encrypt.

Как происходит выпуск сертификата. Чтобы убедиться, что сертификат запрашивает тот, кто управляет доменом (а не злоумышленник), Let’s Encrypt использует так называемый челлендж. Чаще всего это HTTP-01 челлендж — в ходе него Let’s Encrypt делает запрос к адресу:

http://ваш-домен/.well-known/acme-challenge/<token>;

В ответ он ожидает получить определённое текстовое значение.

Когда такой запрос приходит, наша система защиты автоматически отвечает нужным значением. Получив его, Let’s Encrypt понимает: всё хорошо, сертификат запрашивает именно тот, кто управляет доменом. Сертификат выпускается, наша система его получает и начинает использовать.

Можно ли выпустить wildcard Let’s Encrypt сертификат. Нет, потому что через HTTP-01 челлендж нельзя проверить управление целой доменной зоной — только управление отдельным доменом. Поэтому можем выпустить Let’s Encrypt сертификат только для конкретного домена.

Насколько это безопасно. Сертификат Let’s Encrypt не хуже любого другого сертификата: он использует современные алгоритмы, поддерживает все стандартные уровни шифрования и регулярно обновляется. Единственная особенность — его срок действия 90 дней, поэтому обновлять приходится чаще. У нас это происходит автоматически, если включено автообновление.

Что будет, если срок моего сертификата подойдёт к концу, а автообновление не включено?

При попытке зайти на ваш ресурс по HTTPS пользователи будут видеть предупреждение от браузера, что соединение небезопасно.

Что будет, если я не загружу свой сертификат и включу автообновление?

Система сразу выпустит Let’s Encrypt сертификат и станет его использовать (напоминаем: для выпуска сертификата у вас уже должна быть настроена DNS A-запись на IP Servicepipe).

Уведомления об окончании срока действия сертификата

Советуем включить уведомления об истечении срока ваших SSL/TLS-сертфикатов. Система пришлёт сообщение за 25 и за 10 дней до конца срока на имейл, в Telegram или через Webhook (на ваш выбор).

Неважно, какой у вас сертификат (ГОСТ или международный) и включено ли автопродление через Let’s Encrypt — уведомления придут в любом случае. Если сертификатов несколько, уведомления придут по каждому.

Включить уведомления можно в настройках аккаунта на вкладке Подписки на уведомления. Подробная инструкция — в статье Подписки на уведомления.

Пример письма, которое вы получите на имейл: